シマンテックの脅威ハンターチームは金曜日、BlackByteランサムウェア・アズ・ア・サービス組織の関連会社がカスタムデータ窃盗ツールInfostealer.Exbyteを使用してデータを盗んでいると発表した。
BlackByteは、シマンテックがHecamedeと呼ぶサイバー犯罪グループによって運営されています。BlackByteは、2022年2月にFBIが同グループが米国の複数の組織を攻撃し、少なくとも3つの重要インフラプロバイダーを含むという警告を発するまで、レーダーに引っかからずに活動していました。シマンテックは、BlackByteグループとBlackByteランサムウェアの両方を同じ名前で呼んでいます。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ContiやSodinokibiといった大手ランサムウェア攻撃グループが撤退した後、BlackByteは市場の隙間を狙うランサムウェア攻撃グループの一つとして台頭しています。攻撃グループがBlackByteランサムウェア攻撃に使用するカスタムツールを開発しているという事実は、BlackByteが今後、主要なランサムウェア脅威の一つになりつつあることを示唆しています。ここ数ヶ月、BlackByteはランサムウェア攻撃で最も頻繁に使用されるペイロードの一つとなっています。
「他のすべてのランサムウェアよりも悪いというわけではありませんが、Quantum、Hive、Noberus、AvosLockerと並んで、現時点で最も頻繁に使用されるランサムウェアのペイロードの1つであることは間違いありません」とシマンテックの脅威ハンターチームの主席インテリジェンスアナリスト、ディック・オブライエン氏は述べた。
Exbyte ランサムウェア ツールとは何ですか?
Exbyteデータ窃盗ツールはGoプログラミング言語で記述されており、盗んだファイルをMega.co.nzクラウドストレージサービスにアップロードします。Exbyteは実行時にサンドボックス内で実行されているかどうかを確認し、サンドボックス内で実行されていると検出されると、実行を停止するため、発見が困難になるとオブライエン氏は述べています。
このチェックのルーチンは、Sophos が最近文書化したように、BlackByte ペイロード自体が使用するルーチンと非常によく似ています。
次に、Exbyteは感染したコンピュータ上のすべての文書ファイル(.txt、.doc、.pdfなど)を列挙し、そのフルパスとファイル名を%APPDATA%\dummyに保存します。リストされたファイルは、マルウェアがMega.co.nz上に作成するフォルダにアップロードされます。使用されるMegaアカウントの認証情報は、Exbyteにハードコードされています。
Exbyteは、ランサムウェア攻撃と関連付けられたカスタム開発されたデータ窃取ツールとしては初めてではありません。2021年11月、シマンテックは、BlackMatterランサムウェア攻撃で使用され、その後Noberus攻撃でも使用されたデータ窃取ツールであるExmatterを発見しました。他の例としては、Ryuk Stealerツールや、LockBitランサムウェアと関連付けられているStealBitなどがあります。
BlackByte の戦術、技術、手順は何ですか?
シマンテックが調査した最近の BlackByte 攻撃では、攻撃者は Microsoft Exchange Server の ProxyShell (CVE-2021-34473、CVE-2021-34523、CVE-2021-31207) および ProxyLogon (CVE-2021-26855、CVE-2021-27065) の脆弱性を悪用して初期アクセスを取得しました。
シマンテックはまた、攻撃者がランサムウェアのペイロードを展開する前に、公開されている偵察およびクエリツールである AdFind、AnyDesk、NetScan、PowerView を使用していることも確認しました。
「こうしたツールを識別し列挙することは重要です。なぜなら、それらの使用はランサムウェア攻撃が準備されているという初期段階の警告サインとなるからです」とオブライエン氏は述べた。
最近の攻撃では、BlackByteペイロードのバージョン2.0が使用されました。実行時に、ランサムウェアペイロード自体がMicrosoftからデバッグシンボルをダウンロードして保存するようです。コマンドはランサムウェアから直接実行されます。
ランサムウェアはその後、ntoskrnl.exe.BlackByteのバージョン情報を確認し、カーネル通知ルーチンの削除に進みます。これは、マルウェア検出および駆除製品を回避することを目的としています。この機能は、EDRSandblastツールで利用される手法と非常に類似しています。
「カーネル通知ルーチンの削除がどれほど効果的かを判断するのは難しい。これは既知の手法であり、ベンダーも既に認識しており、おそらく緩和策を導入しているだろうからだ」とオブライエン氏は述べた。「しかし、無駄ではないと言えるだろう。もし無駄なら、ベンダーは使っていないはずだからだ。」
BlackByteはVssAdminを使用してボリュームシャドウコピーを削除し、ストレージ割り当てのサイズを変更します。その後、ランサムウェアはファイアウォール設定を変更してリンク接続を有効にします。最後に、BlackByteはsvchost.exeのインスタンスに自身を注入し、ファイルを暗号化した後、ディスク上のランサムウェアバイナリを削除します。
BlackByteから組織を守る、またはその影響を軽減する方法
「BlackByteを阻止するのは難しいが、不可能ではない」とオブライエン氏は語った。
「攻撃の各ステップは、攻撃を特定し、ブロックするチャンスです」と彼は述べた。「多層防御戦略は常に最も効果的です。多層防御戦略とは、複数の検知技術を採用し、単一障害点をなくす戦略です。多くの攻撃者は正当な情報を利用するため、悪意のあるファイルを特定するだけでなく、悪意のある行動も特定できる必要があります。」
最新の保護アップデートについては、シマンテックの保護情報をご覧ください。
